Swiss Grade Security - 3 octobre 2017 - Lausanne
Si, depuis quelques années, les types d’attaque n’ont pas vraiment évolué, les compromissions sont de plus en plus fréquentes et faciles à réaliser, ou à faire réaliser contre compensation. Les pirates informatiques ont des profils de plus en plus diversifiés, et des motivations diverses, même si la majorité des attaques sont opportunistes. On ne se protège bien que contre ce que l’on connaît !
2. Le hacking : peu d’innovation,
beaucoup
d’industrialisation 1
3. Faire du neuf avec…
Les « classes » d’attaques n’ont pas réellement évolué
19941990
1996
1990
1996 2005
1974
1997
4. SURFACE !
Alors pourquoi cette accélération ?
Internet = 400 millions
d’utilisateurs
Internet = 4 millards
d’utilisateurs
x10 en 17 ans
2000 2017
3
5. COMPLEXITY !
Alors pourquoi cette accélération ?
• 0 days : des mois de R&D très complexe
• XSS / SQLi : quelques heures sur youtube
• Les outils sont là, connus, gratuits, tout comme les
tutos.
(Kali, Aircrack, Metasploit, etc.)
Et une génération “Digital Born” pour les utiliser.
4
6. Automation !
Alors pourquoi cette accélération ?
5
Secondes Minutes Heures Jours Semaines Mois Années
Temps entre le
lancement de
l’attaque et
l’intrusion
Temps avant
exfiltration de
données
11% 82% 6% <1% <1% <1% 0%
7% 20% 2.5% 68% <1% <1% 0%
Temps entre la
compromission
et la détection
0% 0% 0% 27% 24% 39% 9%
. . .
...
..
Une IP est scannée plus de 50 fois par jour
7. Où en est on ?
6
Le trafic Web
d’origine non
humaine
61%
Fois par jour : le
nombre de scan d’une
IP sur Internet
50
Nombre d’attaques sur
la couche Web par an
5 000 000 000
Des compromissions
profondes partent de
la couche web
70%
8. Où en est on ?
6
• 12 attaques > 100 Gbps en 2016 contre 5 en 2015
• Record homologué : 517 Gbps (Spike DDoS Botnet)
• 37 attaques par Miraï, en moyenne à 57 Gbps
• 5.5 Gbps : la taille moyenne d’une DDoS
7
9. Où en est on ?
68
le % de piratages ayant pour motif l’argent ou
la compétition
Le président Obama avait déclaré un état
d’urgence national sur le sujet, avec un budget
2017 de
Le coût du Cybercrime passera de
$400 milliards en 2015 à
En 2021…
C’est le coût moyen par donnée volée.
Un vol de données coûte en moyenne $7 millions.$221
$6 Tln
$19 Md
80%
11. Comprendre son ennemi
10
Profiles Motivations Moyens
Ex-Employé Revanche, dénonciation, « whistle blower » Faibles
Hacktiviste Activisme politique Faibles
Pirate isolé Reconnaissance, Cybervandalisme, profit Moyens
Groupe de pirates Profits Forts
Hacking étatique Espionnage, Cyber guerre, Répression Sans limite
12. Comprendre son ennemi
11
Hack Gains / pertes
Défacement Image de marque, confiance
Profil personnel simple Quelques $ par enregistrement, Spam
Profil personnel complet Jusqu’à plusieurs dizaines de $
Numéro de CB De 3 à 50 $ selon type et complétude
DDoS / DoS / Blocage
Image de marque, perte d’exploitation,
rançon
Piratage ciblé (web/0day) Données, jusqu’à plusieurs centaines de K$
Virus / Ranwomware Rançon, Botnet, bénéfices important
13. Ciblé vs Opportuniste
612
95%
Opportunistes
5%
Ciblées
Faille détectée par un scanner
Web, exploitable automatiquement
en quelques secondes, en général
une faille d’un framework utilisé sur
le site
Inacceptables
Attaque potentiellement sur toute la
surface exposée du client, par de
multiples vecteurs, incluant de
l’ingénierie sociale au besoin.
Dangereuses
$
$
14. 613
Ciblé vs Opportuniste
Scan du 0/0 Aspiration des bannières
22/80/443
Attente d’une vulnérabilitéStockage en
base de données
Vulnérabilité
découverte
Déploiement de
la vulnérabilité
$Vol de données
& produits
Monétisation
Un attaquant opportuniste cherche une « petite »
monétisation, facile, rapide et peu risquée.
15. 614
Ciblé vs Opportuniste
Reconnaissance de la cible
Choix d’un vecteur d’attaque
$MonétisationCompromission
Un attaquant qui cible cherche un gros profit, a du
temps et possède un niveau technique supérieur.
16. • Mais elles ne sont pas mises en œuvres, ou seulement partiellement
• Elle sont rarement aussi automatisées que les attaques
• Elles ne communiquent pas entre elles et manquent d’intelligence
• La sécurité coutait très cher et elle se posait en ennemie du business
• Elles devait être la responsabilité de chacun et est donc devenue celle de personne
Autant d’erreurs qui ont couté très cher, et que nous vous proposons de résoudre.
Le but n’est pas la sécurité absolue, le but est de décourager les attaquants.
Depuis des années…
Les réponses existent
15
17. 17
Chemin du Dévent 7
1024 Ecublens, Switzerland
+41.21.625.6990
contact@net4all.ch
@Net4allCH
End of Part 1
Editor's Notes
Si vous trouvez une nouvelle méthode d’attaque, vous avez de grande chance de devenir une Légende
Ingénierie sociale - Kevin Mitnick
Exploitation Web (XSS / SQL Injection, OWASP top 10, etc.)
0days (Smashing the stack for fun & profit Aleph on e)
SCAM/Phishing/Spear Phishing - Unknown
DoS / DDoS (David Dennis 13 ans, CERL)
Bruteforce de mot de passe / contournement d’authentification (CERT 1998)
Interception & écoute de trafic – Kevin Mitnick
Malware/Ransomware
And with users, sites, softwares, hardwares, etc.
J’ai pris mon premier coup de vieux en sécurité à 25 ans.
Scanner internet : Quelques heures
Automatiser une attaque : Quelques heures
Distribuer sur de nombreux serveurs : Quelques heures
Scanner internet : Quelques heures
Automatiser une attaque : Quelques heures
Distribuer sur de nombreux serveurs : Quelques heures
Scanner internet : Quelques heures
Automatiser une attaque : Quelques heures
Distribuer sur de nombreux serveurs : Quelques heures
Scanner internet : Quelques heures
Automatiser une attaque : Quelques heures
Distribuer sur de nombreux serveurs : Quelques heures
Scanner internet : Quelques heures
Automatiser une attaque : Quelques heures
Distribuer sur de nombreux serveurs : Quelques heures
Scanner internet : Quelques heures
Automatiser une attaque : Quelques heures
Distribuer sur de nombreux serveurs : Quelques heures
Scanner internet : Quelques heures
Automatiser une attaque : Quelques heures
Distribuer sur de nombreux serveurs : Quelques heures
Scanner internet : Quelques heures
Automatiser une attaque : Quelques heures
Distribuer sur de nombreux serveurs : Quelques heures
Scanner internet : Quelques heures
Automatiser une attaque : Quelques heures
Distribuer sur de nombreux serveurs : Quelques heures